ios开发之代码混淆

最新推荐文章于 2025-03-15 21:15:30 发布
转载 最新推荐文章于 2025-03-15 21:15:30 发布 · 137 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/zsyzone/blog/1580699
文章标签:

#移动开发 #python #数据库

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

class-dump可以很方便的导出程序头文件,不仅让攻击者了解了程序结构方便逆向,还让着急赶进度时写出的欠完善的程序给同行留下笑柄。

所以,我们迫切的希望混淆自己的代码。

混淆分许多思路,比如:

1)花代码花指令,即随意往程序中加入迷惑人的代码指令

2)易读字符替换

等等

防止class-dump出可读信息的有效办法是易读字符替换。

Objective-C的方法名混淆

混淆的时机

我们希望在开发时一直保留清晰可读的程序代码,方便自己。

同时,希望编译出来的二进制包含乱七八糟的混淆后的程序代码,恶心他人。

因此,我们可以在Build Phrase 中设定在编译之前进行方法名的字符串替换。

混淆的方法

方法名混淆其实就是字符串替换,有2个方法可以,一个是#define,一个是利用tops。
利用#define的方法有一个好处,就是可以把混淆结果合并在一个.h中,在工程Prefix.pch的最前面#import这个.h。不导入也可以编译、导入则实现混淆。

单段的selector,如func: ,可以通过#define func 来实现字符串替换。
多段的selector,如a:b:c: ,可以通过分别#define a 、b、c 来实现字符串替换。

我的混淆工具

我写了个简易的混淆脚本,主要思路是把敏感方法名集中写在一个名叫func.list的文件中,逐一#define成随机字符,追加写入codeObfuscation.h。

脚本如下:

#!/usr/bin/env bash  
  
TABLENAME=symbols  
SYMBOL_DB_FILE="symbols"  
STRING_SYMBOL_FILE="func.list"  
HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"  
export LC_CTYPE=C  
  
#维护数据库方便日后作排重  
createTable()  
{  
    echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE  
}  
  
insertValue()  
{  
    echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE  
}  
  
query()  
{  
    echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE  
}  
  
ramdomString()  
{  
    openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16  
}  
  
rm -f $SYMBOL_DB_FILE  
rm -f $HEAD_FILE  
createTable  
  
touch $HEAD_FILE  
echo '#ifndef Demo_codeObfuscation_h  
#define Demo_codeObfuscation_h' >> $HEAD_FILE  
echo "//confuse string at `date`" >> $HEAD_FILE  
cat "$STRING_SYMBOL_FILE" | while read -ra line; do  
    if [[ ! -z "$line" ]]; then  
        ramdom=`ramdomString`  
        echo $line $ramdom  
        insertValue $line $ramdom  
        echo "#define $line $ramdom" >> $HEAD_FILE  
    fi  
done  
echo "#endif" >> $HEAD_FILE  
  
  
sqlite3 $SYMBOL_DB_FILE .dump

1:创建混淆脚本confuse.sh, codeObfuscation.h和函数名列表func.list,都放到工程目录中 ,如图

2: 添加PrefixHeader.pch文件并引入codeObfuscation.h

3:配置Build Phase
在工程Build Phase中添加执行脚本操作,执行confuse.sh脚本,如图:

4:待混淆的函数名写入func.list

例如

- (void)zsy_Function1;

- (void)zsy_loginWithName:(NSString *)name zsy_passWord:(NSString *)password;

应该写成:

zsy_Function1

zsy_loginWithName

zsy_passWord

5: 编译查看结果

直接build,混淆脚本会在编译前运行,进行字符随机替换,并且每次build的随机字符不同,如图:

接着验证一下是否真的混淆成功了。

将项目打包,并class-dump下,发现方法名和属性名变了。

原来的方法名

现在的方法名

已经变成了随机字符串

接下来我们用Hopper Disassembler来试试。

Hopper Disassembler的用法很简单,只要将二进制文件拖进去就行了。看看拖进去之后的结果。

完毕

转载于:https://my.oschina.net/zsyzone/blog/1580699

iOS代码混淆教程
六桥风月IT随笔
09-12 2097
混淆原理 代码编译阶段将符号(方法名、属性名等)替换成随机生成的字符串 长话短说,直接上步骤。 混淆集成步骤 步骤一、创建shell文件(confuse.sh)并配置相应的运行环境。 在项目根目录下新建一个文件夹 我这里取文件夹名称为CodeObfuscation,如下图所示 文件夹 **注意** 这里的文件夹必须在目录中真实存在(Xcode9 New Group会自动创建对应的真实文件夹)。 在上一步的文件下新建一个shell文件(.sh文件) .
iOS应用混淆技术详解
最新发布
ljw714的专栏
06-17 1438
iOS应用混淆技术详解:150字摘要 本文系统介绍了iOS应用混淆技术,包括代码混淆(标识符替换、控制流变形、字符串加密)、资源混淆(图片和配置文件保护)、运行时保护(反调试、完整性校验)及网络通信保护(加密和证书固定)。文章还对比了开源工具(如Obfuscator-LLVM)和商业工具,提出分层混淆、动态混淆和多维度保护的最佳实践。特别强调需平衡安全性与性能,控制混淆程度以避免崩溃和兼容性问题,同时保留调试支持。通过综合运用这些技术,开发者可以有效保护应用知识产权和安全。
iOS代码混淆
03-04
iOS代码混淆安全加固,手动加固和自动加固,详细案例,详细分析!
iOS应用安全之代码混淆实现篇
热门推荐
zm53373581的专栏
10-14 1万+
iOS应用安全之代码混淆实现篇
iOS 初探代码混淆(OC)
weixin_34290096的博客
05-24 426
前言 自己做iOS开发也有几年的时间了,平时做完项目基本就直接打包上传到Appstore上,然后做上架操作了。但是最近,客户方面提出了代码安全的要求。说是要做代码混淆,这方面的工作之前从来没有接触过。然后就上网查了一下,原来有很多应用程序都做了代码混淆。看来是我固步自封了...... 起因 使用classdump对原程序进行dump,可以dump出所有源程序的函数所有信息:源程序所有函数类型,变量...
花指令
weixin_34310127的博客
07-03 425
本文作者:sodme本文出处:http://blog.youkuaiyun.com/sodme声明:本文能够不经作者允许随意转载、复制、引用。但不论什么对本文的引用,均须注明本文的作者、出处以及本行声明信息。可能非常多人都听说过花指令,但限于平时的开发所限,可能较少接触到。日前,跟同事讨论了一些有关花指令的问题,现将自己的体会总结一下。这篇文章将讨论以下问题:一、什么是花指令?它的原理是什么?二、在什么地...
iOS混淆
Urnotlmm的专栏
01-23 4932
最近发现了苹果审核对于该方法的混淆包给予拒绝通过,解释原因苹果自己有自己的加密方法去保证安全性,防止反编译不需要你去做混淆。我猜测和最近严打马甲包也有关吧。 回顾一下混淆方法,这个方法和脚本出自念茜。 1、新建confuse.sh和func.list文件 confuse.sh就是脚本文件,将需要混淆的属性名和方法名用随机字符串替换。 func.list文件用来罗列我们的需要进行混淆的方法和
iOS 代码混淆
weixin_40873814的博客
09-22 857
gh
[iOS]代码混淆
Gamin
11-25 5853
混淆有几点注意:不能混淆系统方法不能混淆init开头的等初始化方法混淆属性时需要额外注意set方法如果xib、 storyboard中用到了混淆的内容,需要手动修正。可以考虑把需要混淆的符号都加上前缀,跟系统自带的符号进行区分。混淆有风险,有可能会被App Store以2.1大礼包拒掉,需要说明用途。
iOS混淆代码
box_kun的博客
06-19 905
混淆代码之前class-dump下代码。如图,发现方法名称完美的暴露了。混淆之前混淆之后,发现syn_loginWithName:password:方法名变成了毫无意义的名称。混淆之后好,混淆的作用已经演示清楚。那么接下来就说说如何实现混淆。方式一第一步:建立测试项目,同时新建一个confuse.sh、一个func.list文件。如图:第二步:将新建的两个文件拖到项目中。如图:第三步:将iOS安全...
iOS混淆探索
iOS混淆
08-27 4411
iOS审核现状 目前Apple审核越来越智能化“静态分析+动态分析”,详见揭秘苹果应用审核团队(史上最全版) 总结如下: 旧方式:静态修改(简单的全局修改名称早已经不适用了) 新策略:彻底混淆+模拟人工混淆成为主流 马甲包的本质: 阶段一减低重复率,例如基本的类名、属性名、方法名,字符串等 阶段二减少相似度(相同元素的正态分布),属性名、方法名是否按类区分(例如:相同属性名在不同类中混淆完是否改变,以及不同方法名在不同的类中混淆完其实可以相同的)。 阶段三改变代码执行流程 区分工具优劣 其.
iOS代码混淆详解一
huayiyu的博客
03-15 1212
讲述代码混淆的优缺点及简单的代码混淆方法
iOS 探讨之 代码混淆
yanglei3kyou的专栏
06-29 1224
阐述没有绝对安全的系统,也没有黑客破不掉的系统,所需要的只是时间而已… But,当时间成本大于收益成本,聪明人是不会进行尝试。为了所谓的“相对安全”,研究代码混淆也是必要的。探讨Step 1创建 confuse.sh、 func.list终端(Terminal)可以键入touch confuse.shtouch func.shStep 2将 confuse.sh 、func.list 添加到工程中...
iOS马甲包代码混淆工具发布
总结而言,iOS马甲包代码混淆工具是移动应用开发者在多变市场环境下保护自身利益和提升产品竞争力的重要手段之一。在使用混淆工具的过程中,开发者需要平衡安全需求和应用性能之间的关系,并确保遵守相应的平台规范...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值